ML-модель – это алгоритм, основанный на методах машинного обучения, задачей которого является анализ телеметрии объекта мониторинга и обнаружение аномалий.
ML-модель создается для конкретного объекта мониторинга с учетом особенностей объекта и характеристик данных телеметрии. При создании ML-модели формируется общая структура алгоритма (архитектура), после чего ML-модель обучается на исторических данных телеметрии, таким образом настраиваясь на особенности поведения конкретного объекта.
ML-модель состоит из одного или нескольких элементов, каждый из которых самостоятельно анализирует телеметрию для выявления аномалий. Как правило, чем сложнее технологические процессы объекта мониторинга, тем больше элементов будет содержать ML-модель. ML-модель может включать в себя следующие элементы, работающие параллельно:
Предиктивные элементы и элементы на основе эллиптического конверта требуется обучить. Процесс обучения предиктивного элемента может состоять из одной или нескольких эпох. Эпоха – это цикл, в течение которого элемент обучается на всем наборе обучающих данных. Количество эпох для обучения задается в параметрах обучения элемента. Элементы на основе диагностического правила обучать не требуется, поэтому они считаются обученными.
Процесс работы ML-модели с данными телеметрии для выявления аномального поведения называется инференсом. В Kaspersky MLAD инференс ML-модели может выполняться как на исторических данных (исторический инференс), так и данных телеметрии, поступающих в режиме реального времени (потоковый инференс). В случае запуска исторического инференса для нескольких ML-моделей, Kaspersky MLAD выполняет инференс этих ML-моделей в порядке очереди их запуска. Длительность выполнения исторического инференса определяется интервалом времени данных, которые анализирует ML-модель. В случае запуска потокового инференса для нескольких ML-моделей, Kaspersky MLAD выполняет инференс этих ML-моделей одновременно. Выполнение исторического и потокового инференса происходит параллельно и независимо друг от друга. В процессе инференса ML-модель регистрирует инциденты, которые можно просмотреть в разделе Инциденты.
Помимо инцидентов в результате инференса ML-модель также формирует артефакты. Артефакт представляет собой последовательность числовых значений (временной ряд). ML-модель может сформировать следующие артефакты:
Вы можете просмотреть сформированные артефакты в разделах Мониторинг и История.
ML-модели могут быть созданы специалистами "Лаборатории Касперского" или сертифицированным интегратором в рамках Услуги построения модели и внедрения Kaspersky MLAD. Для использования таких ML-моделей требуется импортировать их в Kaspersky MLAD. Вы также можете самостоятельно создавать ML-модели и добавлять в них нужные элементы с помощью конструктора моделей.